Письмо на миллион: как группа Hive0117 обчищает счета компаний через бухгалтерский компьютер

Hive0117 рассылала бухгалтерам письма с RAR-архивом и паролем прямо в тексте — чтобы проехать мимо антивирусов. Внутри — DarkWatchman RAT. Дальше злоумышленники через ДБО проводили платежи по зарплатному реестру, где вместо сотрудников стояли счета дропов. Антифрод видел обычную зарплатную операцию и пропускал.

Более 3000 компаний получили письма. Средний ущерб при успешной атаке — около 3 млн рублей, максимальный — свыше 14 млн.

Изолированная машина для ДБО, фильтрация архивов с паролем и контроль зарплатных реестров на стороне банка — три вещи, которые реально снижают риск.

В феврале–марте 2026 года группа Hive0117 провела серию целевых атак на бухгалтеров российских компаний. Схема не новая — фишинговое письмо, троян, доступ к ДБО. Но вот дальше — интересно: деньги выводили под видом зарплаты. Антифрод не срабатывал, потому что операция выглядела как обычный платёж по реестру.

Средний ущерб от одной успешной атаки — около 3 млн рублей. Максимум — свыше 14 млн.

Статья для ИБ-специалистов и тех, кто отвечает за защиту корпоративных финансов: что именно делала группа, как устроена схема обхода антифрода и что с этим делать.

Hive0117 (она же WatchWolf) — финансово мотивированная группировка, работает с февраля 2022 года. Бьёт по российским компаниям в промышленности, ретейле, энергетике, медиа, финансах, телекоме и транспорте. Периодически атакует организации в Беларуси и Казахстане.

Раньше группа распространяла вредоносные архивы от имени логистических операторов и госструктур. Сейчас тактика немного изменилась.

Рассылка шла с предположительно скомпрометированных почтовых ящиков — в частности, одного московского разработчика веб-сайтов и мобильных приложений.

Темы писем: «Акт сверки», «Счёт на оплату», «Уведомление об окончании